«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2025 года
Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2025 года наибольшее распространение получили трояны Android.MobiDash, которые показывают навязчивую рекламу. По сравнению с прошлым периодом наблюдения они обнаруживались на защищаемых устройствах на 18,19% чаще
На второе место опустились рекламные трояны Android.HiddenAds, активность которых снижается второй квартал подряд. В течение последних трех месяцев пользователи сталкивались с ними на 71,85% реже. Эти вредоносные приложения скрывают свои значки, чтобы их было сложнее обнаружить и удалить, и демонстрируют рекламу, в том числе полноэкранные видеоролики.
На третьем месте вновь расположились вредоносные программы-подделки Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Число их детектирований снизилось на 7,49%. Такие трояны вместо заявленной функциональности часто загружают различные сайты — например, мошеннические и вредоносные, а также сайты онлайн-казино и букмекерских контор.
Самыми распространенными банковскими троянами остались представители семейства Android.Banker, несмотря на снижение активности на 38,88%. Злоумышленники используют их для получения нелегального доступа к банковским счетам и похищения денег. Эти трояны могут демонстрировать фишинговые окна для кражи логинов и паролей, имитировать внешний вид настоящих программ «банк-клиент», перехватывать СМС для получения одноразовых кодов и т. д.
За ними расположились трояны Android.BankBot, которые детектировались на 18,91% чаще. Они также пытаются получить доступ к учетным записям онлайн-банка пользователей, перехватывая коды подтверждения. При этом данные банковские трояны могут выполнять различные команды киберпреступников, а некоторые из них позволяют дистанционно управлять зараженными устройствами.
Замыкают тройку лидеров представители семейства Android.SpyMax, основанные на исходном коде трояна-шпиона SpyNote. Они детектировались на 17,25% реже, чем во II квартале. Эти вредоносные программы обладают широким набором вредоносных функций, в том числе позволяют дистанционно управлять устройствами.
В августе мы сообщили о кампании по распространению многофункционального бэкдора Android.Backdoor.916.origin, которого киберпреступники используют для кражи конфиденциальных данных и слежки за пользователями Android-устройств. Злоумышленники отправляли потенциальным жертвам сообщения в различных мессенджерах, предлагая установить «антивирус» из прикрепленного APK-файла. Антивирусная лаборатория «Доктор Веб» обнаружила первые версии этой вредоносной программы еще в январе 2025 года и с тех пор продолжает отслеживать ее развитие. По оценкам наших экспертов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью киберпреступников являются представители российского бизнеса.
В течение III квартала в каталоге Google Play распространялось множество вредоносных и нежелательных приложений, которые суммарно были установлены свыше 1 459 000 раз. Среди них — десятки троянов Android.Joker, подписывающих жертв на платные услуги, а также программы-подделки Android.FakeApp. Кроме того, наши вирусные аналитики выявили очередную программу, которая якобы позволяла конвертировать виртуальные награды в настоящие деньги.
Главные тенденции III квартала
🔸Рекламные трояны Android.MobiDash стали самыми распространенными угрозами
🔸Продолжилось снижение активности рекламных троянов Android.HiddenAds
🔸Возросло число атак банковских троянов семейства Android.BankBot
🔸Снизилась активность банковских троянов Android.Banker и Android.SpyMax
🔸Киберпреступники использовали многофункционального бэкдора Android.Backdoor.916.origin для атак на представителей российского бизнеса
🔸В каталоге Google Play распространялось множество вредоносных программ
По данным Dr.Web Security Space для мобильных устройств
Android.MobiDash.7859
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812
Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.HiddenAds.673.origin
Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Triada.5847
Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.
Program.FakeMoney.11
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin
Приложение, позволяющее вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin
Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Adware.AdPush.3.origin
Adware.Adpush.21846
Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.ModAd.1
Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Youmi.4
Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Basement.1
Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Угрозы в Google Play
В III квартале 2025 года антивирусная лаборатория «Доктор Веб» зафиксировала в каталоге Google Play свыше 50 троянов семейства Android.Joker, которые подписывают пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, всевозможные системные утилиты, редакторы изображений, программы для фотосъемки, работы с документами и т. д.
Один из троянов скрывался в программе для оптимизации работы системы Clean Boost (Android.Joker.2412), другой — в приложении Convert Text to PDF (Android.Joker.2422) для преобразования текста в PDF-документы
Кроме того, наши специалисты обнаружили очередные программы-подделки Android.FakeApp, используемые в мошеннических схемах. Как и прежде, некоторые из них киберпреступники выдавали за финансовые приложения — справочники, обучающие пособия, ПО для доступа к инвестиционным сервисам. Эти подделки загружали мошеннические сайты. Другие троянские программы Android.FakeApp распространялись под видом игр и при определенных условиях вместо обещанной функциональности загружали сайты букмекеров и онлайн-казино.
6
Примеры троянов Android.FakeApp, замаскированных под приложения финансовой тематики. Android.FakeApp.1889 предлагал пользователям проверить финансовую грамотность, а Android.FakeApp.1890 — развивать финансовое мышление
Также наши эксперты обнаружили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи этого ПО получали виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.
Program.FakeMoney.16 в каталоге Google Play
Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат жертвы в итоге не получали.
8
Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
Индикаторы компрометации
Q3 2025 review of virus activity on mobile devices — Indicators of compromise
Samples (Detection name / SHA-1 )
Adware.Adpush.21846 / 4e164cd0a8ad4e00102717957ee85320234bc7d3
Adware.AdPush.3.origin / 501f36db0aae9f950fe5559fc12820f20cd1f620
Adware.Basement.1 / 910091acd64150480c41ec265e41da4c4a168e69
Adware.ModAd.1 / f313360472d294b9f6205585bd5742a59ad07065
Adware.Youmi.4 / 09681eeb301f6c81043bcad56366176beafd9d78
Adware.Youmi.4 / b470652fd537d6c0449b4a2adca7815a8181c2e6
Android.Backdoor.916.origin / 4000d55e218b54eea9090b01d4a96d1410c6c4b1
Android.Backdoor.916.origin / 94d25cebb6ba408c7c45bd12fd8aca5293d5df21
Android.Click.1812 / 2157969ab0856b72ff4a2a089797fdb463a23753
Android.FakeApp.1600 / 645ae4d7bc879645b6f2e0ebe84d57e89cb03f78
Android.FakeApp.1880 / 01c25fce90d602644a090ab023481be1a72d27af
Android.FakeApp.1880 / 361a5329b663e6290fc77c1d98789660e8ff9670
Android.FakeApp.1881 / 3d04f7539f5a978c30ae83b76a538302391f5490
Android.FakeApp.1882 / b3d34bea2da416442e9a7d73c76e81319ed51c58
Android.FakeApp.1883 / 03b353708d3084576683baed8d221c65bc8d97f8
Android.FakeApp.1884 / 29aaecb7d580aee86bad0326af6479c038b548e9
Android.FakeApp.1885 / 3e6e037066bfb0f9c84facd02593562eaceb3fce
Android.FakeApp.1886 / 267b5084208bc10bd2a9ad78d8addd8a46f8b34d
Android.FakeApp.1887 / 3ad42570454c9737d2c1fe1c9e22b5391f082bb1
Android.FakeApp.1888 / bca7a6c7f5afafc155dd5d72eec299587f1a9edb
Android.FakeApp.1888 / c982e06911d7dd5b8210f30a3e905c4f9992681f
Android.FakeApp.1889 / 44437f73e1b1fce16796ea5389a5d0ea0b503d2c
Android.FakeApp.1890 / df640a948ac5afaf91d529c14222a6129ce91b58
Android.FakeApp.1891 / 3accc8fd979548e0a10dcc82c09c255a7bd69505
Android.FakeApp.1892 / 35a787a3b46a6b2261c875e8c710933e96d47203
Android.FakeApp.1893 / d70c2e171053796b81d5cb24ce4666045893eb4e
Android.FakeApp.1894 / 81c9f469e0f360632cb26088418db34d471129d8
Android.HiddenAds.673.origin / 552cb2d3197b6bc18509283064344bd92457d6d4
Android.Joker.2406 / 0bc944905a91687b6c51b0c41f4a7733407f8633
Android.Joker.2406 / a0fb70b088a4cffdcf2c0fa49459a920d578eed7
Android.Joker.2408 / d83990fbc2660566700f6e8eb20d853d4f394f13
Android.Joker.2409 / 9c16bcea6ae85dfc85a04f85a63e563a26f8bb1d
Android.Joker.2409 / 9c87a7566e4556309680ece73a20f55e72da97e4
Android.Joker.2411 / 1debacf6fe7e56beaef7588abc6d3fd794b53e92
Android.Joker.2411 / a35e227b66933a6e3493d13fc7cb8e4dad5e3767
Android.Joker.2412 / 4829e09ed7d94f1ec866caa5eee0966e1797a4d0
Android.Joker.2413 / 01c17098e83b63977c02c9e771211f255dec4c25
Android.Joker.2413 / 136e4fff6af22d65b42818738122b78e406968f4
Android.Joker.2415 / 64e0f1cf5dc7c2fe5ebfd65c9b395e34c71eb564
Android.Joker.2415 / c8d9013522de509c82ccb95fc747ede24339170b
Android.Joker.2418 / 5897c6de468b2dd5743f9e148aac0446b06d26fd
Android.Joker.2419 / ba77487471396d386b968dcbedf0e6db5a1cc8f0
Android.Joker.2420 / 3a280a6c699119da8ee52cb4a6684fb4ad028d00
Android.Joker.2421 / 89ca6d40b45b241851a1187ffb026faf7a0166bc
Android.Joker.2422 / 067b90b8d97cd372f8c84ae95f4af22c0365c4ec
Android.Joker.2424 / 8479b79d761bddf47f06926d2d7c17646e63f3a8
Android.Joker.2425 / 1566d671c585622f64cfe41e2574f0eec046b3ff
Android.Joker.2427 / 10adbc63a85f486069d63580b885f154d55d5268
Android.Joker.2427 / 25a380f2acf1952baa2efe6bbbb3aff77edebac2
Android.Joker.2429 / 26dedd40dc1df425ee44c6a4aee5593ebdd095ee
Android.Joker.2430 / d58cfa62b0192a923a2f0a68448fe5011018e452
Android.Joker.2431 / 359b7af6e135b6cabf039237fa823e97736346ef
Android.Joker.2432 / a14ff2dd340b12d81ea2575ec7784c67efe030db
Android.Joker.2433 / 1be3abe49ad42844eff4ab14f4f1c3215ca7d818
Android.Joker.2434 / 821f5415f52c153b65a5f3422f64579794f70939
Android.Joker.2435 / 29026fbe525a48958c0c902c2aba86a580638ac2
Android.Joker.2435 / 3ee3aa5b36429d37d1abad031ce23945b4a7ade0
Android.Joker.2436 / cdbaac708d723122096184900fcaa08a01f2213c
Android.Joker.2437 / 6622a2ffda578398fc71bec35b8a56ff8db5b43f
Android.Joker.2437 / b4612c2e2db62a5aab59994c647e13cd0f7bef80
Android.Joker.2438 / 38b6212120647c4d6a1f7148c6709564b6c8d179
Android.Joker.2439 / 703043b83ab58a49f26a30f2de336651497d8b5f
Android.Joker.2440 / 0d92be5de8227fe279069050fe59f93e0fdbdbe5
Android.Joker.2440 / 20c97925d6ec980cb2a0750d3eeb6364fdbe956c
Android.MobiDash.7859 / 06cc4ba166a8b8695fbe2e1fc827bb1fc156f974
Android.MobiDash.7859 / 15858bab4022440fbd7e9e3a76791613f060cff0
Android.Triada.5847 / 3e2bcf5bcb24ebef7f9b0e6d0dbffb508887eea2
Android.Triada.5847 / 62188aedf16bddf8de9425b31d39d7a6000f906a
Program.CloudInject.1 / 9c97f4010f2b10bf00951216141b8aa5e67c86bc
Program.CloudInject.1 / 9ee08b1c245a5c8dbc268788374cb89e79beb26b
Program.CloudInject.5 / 4002aab34096cdb9a71263bced1c29111b681733
Program.FakeAntiVirus.1 / 017719d3fee02a0dc4fa22017b882a5c0a983ec9
Program.FakeAntiVirus.1 / e1b517dfacaa735014331dca8dfe8099ea74c8e5
Program.FakeMoney.11 / 23d35f8774fa7020b804fa1253b13c59bf338e81
Program.FakeMoney.11 / 7fdb2adc34504b63f1f123d61ea36b6afbb6c00b
Program.FakeMoney.16 / 38531fde9e6d880fa9c833053f6fccdf72aea084
Program.TrackView.1.origin / 232bfdf129d4e8f075138b7ba70e70de8b5bbea7
Program.TrackView.1.origin / 402d40a8824a8edea39eb22cd9dcb4f29ca76e9d
Tool.Androlua.1.origin / d7a2606d1c014a070b7d76dceebd5e06a75553ff
Tool.Androlua.1.origin / fe120b047ae3db313fbe4649c5f26fc2f2f32763
Tool.CloudInject.1 / c66100aee1b7816fcca2dc7088d77e35fc2ab771
Tool.LuckyPatcher.2.origin / 4f80c2fc41872957672cd903366eb08bb7d4ce65
Tool.NPMod.1 / 696588e66632cfd79f0ad9390c8df7e5ed5671a6
Tool.NPMod.3 / 571d981e2f63081376cc84d680fb6b51a11573a0
Tool.NPMod.4 / 281e131a17aec62635c0af4e7cefac42bd70d9c6
Материал подготовлен:
Доктор Веб
Ваши контактные данные не публикуются на сайте.